系統(tǒng)管理員網(wǎng)絡(luò)安全培訓(xùn)課程教材-WLAN_第1頁(yè)
系統(tǒng)管理員網(wǎng)絡(luò)安全培訓(xùn)課程教材-WLAN_第2頁(yè)
系統(tǒng)管理員網(wǎng)絡(luò)安全培訓(xùn)課程教材-WLAN_第3頁(yè)
系統(tǒng)管理員網(wǎng)絡(luò)安全培訓(xùn)課程教材-WLAN_第4頁(yè)
系統(tǒng)管理員網(wǎng)絡(luò)安全培訓(xùn)課程教材-WLAN_第5頁(yè)
已閱讀5頁(yè),還剩63頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

WLAN系統(tǒng)管理員培訓(xùn)教材編者:李小雪單位:重慶移動(dòng)電話(huà)箱:lixiaoxue@培訓(xùn)對(duì)象與人員能力要求:WLAN系統(tǒng)維護(hù)人員已掌握TCP/IP基礎(chǔ)知識(shí)、WLAN基礎(chǔ)知識(shí)、網(wǎng)絡(luò)設(shè)備配置基礎(chǔ)知識(shí)課時(shí)安排:培訓(xùn)目標(biāo):目錄WLAN系統(tǒng)的網(wǎng)絡(luò)安全管理要求2相關(guān)技術(shù)及安全標(biāo)準(zhǔn)介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風(fēng)險(xiǎn)及防護(hù)手段31◆WLAN認(rèn)證過(guò)程-WEB認(rèn)證方式APWLANACPortalServerRadiusInternetIP城域網(wǎng)APAP2.發(fā)起HTTP請(qǐng)求訪問(wèn)Internet業(yè)務(wù)應(yīng)用

1.關(guān)聯(lián)WLAN,獲取IP地址3.第一次訪問(wèn),AC強(qiáng)制到Portal,推送登錄頁(yè)面4.認(rèn)證成功,返回認(rèn)證結(jié)果,AC將IP/MAC地址與MSISDN對(duì)應(yīng)關(guān)系加入會(huì)話(huà)列表5.推送認(rèn)證成功頁(yè)面拒絕服務(wù)攻擊-物理層和鏈路層RF干擾主要對(duì)2.4GHz頻段進(jìn)行干擾微波爐、無(wú)繩電話(huà)等也可能造成無(wú)意干擾Duration攻擊利用802.11的沖突避免機(jī)制,攻擊者通過(guò)修改無(wú)線報(bào)文參數(shù)(NAV,Duration字段),大量搶占空口時(shí)間,使正常AP/終端無(wú)法收發(fā)報(bào)文BeaconFlood向無(wú)線信道中發(fā)送大量虛假的SSID,來(lái)充斥客戶(hù)端的無(wú)線信號(hào)列表,使客戶(hù)端找不到真實(shí)的AP,這樣即影響到了正常的無(wú)線業(yè)務(wù)的運(yùn)行拒絕服務(wù)攻擊-物理層和鏈路層-防護(hù)手段無(wú)有效手段預(yù)防加強(qiáng)巡檢和故障響應(yīng),遭受攻擊時(shí)通過(guò)儀器儀表儀表等手段快速定位攻擊源拒絕服務(wù)攻擊-ARP廣播包攻擊者發(fā)起洪泛ARP廣播請(qǐng)求,致使AC向各AP轉(zhuǎn)發(fā)大量數(shù)據(jù),造成網(wǎng)絡(luò)擁塞拒絕服務(wù)攻擊-ARP廣播包-防護(hù)手段AC嚴(yán)格劃分VLAN,減小廣播域,并嚴(yán)禁VLAN間互通開(kāi)啟AC的用戶(hù)隔離功能禁止AP向與其關(guān)聯(lián)的所有終端廣播ARP報(bào)文開(kāi)啟接入交換機(jī)的端口隔離功能開(kāi)啟網(wǎng)絡(luò)設(shè)備DHCPSnooping功能拒絕服務(wù)攻擊-ARP廣播包-防護(hù)手段Internet…AP無(wú)線控制器有線接入網(wǎng)AP隔離,防止不同AP下用戶(hù)互通用戶(hù)隔離,防止同AP下用戶(hù)互通安全管理中心(secCenter)拒絕服務(wù)攻擊-針對(duì)APSTA與AP連接過(guò)程發(fā)生在用戶(hù)身份認(rèn)證開(kāi)始之前STA的三個(gè)狀態(tài)拒絕服務(wù)攻擊-針對(duì)AP攻擊方式AuthenticationFlood&AssociationFlood認(rèn)證洪水攻擊和關(guān)聯(lián)洪水攻擊偽裝客戶(hù)端向AP發(fā)送大量的認(rèn)證或者關(guān)聯(lián)請(qǐng)求,使目標(biāo)AP過(guò)載或者關(guān)聯(lián)表填滿(mǎn),無(wú)法響應(yīng)正常請(qǐng)求,也可能導(dǎo)致已連接用戶(hù)斷線De-authenticationFlood&De-associationFlood取消認(rèn)證洪水攻擊和取消關(guān)聯(lián)洪水攻擊發(fā)送大量取消認(rèn)證或者取消關(guān)聯(lián)請(qǐng)求,使已連接的用戶(hù)強(qiáng)制斷線拒絕服務(wù)攻擊-針對(duì)AP-防護(hù)手段協(xié)議弱點(diǎn),無(wú)有效手段預(yù)防開(kāi)啟無(wú)線拒絕服務(wù)攻擊檢測(cè)告警功能加強(qiáng)巡檢和故障響應(yīng),遭受攻擊時(shí)通過(guò)儀器儀表儀表等手段快速定位攻擊源拒絕服務(wù)攻擊-針對(duì)ACDHCP地址耗盡攻擊攻擊者發(fā)送大量虛假的DHCP請(qǐng)求,耗盡地址池中地址,導(dǎo)致AC無(wú)法為新合法用戶(hù)分配IP合法終端因?yàn)镮P地址耗盡所以無(wú)法正常接入AC給所有實(shí)現(xiàn)無(wú)線關(guān)聯(lián)的終端分配IP地址發(fā)送大量虛假DHCP請(qǐng)求AC上的IP地址池中地址很快被非法終端耗盡拒絕服務(wù)攻擊-針對(duì)ACWEB服務(wù)攻擊AC多采用WEB方式管理,自身運(yùn)行httpd等web服務(wù),可能遭受針對(duì)WEB服務(wù)的DoS攻擊,造成設(shè)備負(fù)荷過(guò)高案例:2011年某省公司AC遭受SYNFLOOD攻擊,造成CPU負(fù)荷過(guò)高,業(yè)務(wù)中斷攻擊者拒絕服務(wù)WLANAC拒絕服務(wù)攻擊-針對(duì)AC-防護(hù)手段DHCP地址耗盡攻擊開(kāi)啟網(wǎng)絡(luò)設(shè)備DHCPSnooping功能WEB服務(wù)攻擊AC上配置ACL等手段,限制有限地址作為訪問(wèn)源,拒絕非授權(quán)IP訪問(wèn)AC拒絕服務(wù)攻擊-其它Portal風(fēng)險(xiǎn)Portal完全暴露在公網(wǎng)提供WEB服務(wù),存在遭受DOS/DDOS攻擊的風(fēng)險(xiǎn)Radius風(fēng)險(xiǎn)Portal、Radius多存在于一個(gè)安全域內(nèi),而且WebPortal必須對(duì)所有用戶(hù)可見(jiàn),因此Radius的安全性很低,存在遭受DoS及DDoS攻擊的風(fēng)險(xiǎn)拒絕服務(wù)攻擊-其它-防護(hù)手段WLAN系統(tǒng)嚴(yán)格劃分安全區(qū)域Portal與Radius隔離在兩個(gè)不同等級(jí)安全域內(nèi),且Radius安全域等級(jí)應(yīng)高于WebPortal域安全等級(jí)

在Portal前部署防火墻、防DDOS、網(wǎng)頁(yè)防篡改等安全防護(hù)系統(tǒng),確保高安全強(qiáng)度攻擊者網(wǎng)站防篡改DDOS防護(hù)WLANPortal網(wǎng)絡(luò)濫用-DNS漏洞繞開(kāi)計(jì)費(fèi)WLAN認(rèn)證過(guò)程回顧1.用戶(hù)連接CMCC的無(wú)線接入點(diǎn)2.終端分配到IP地址,進(jìn)入WLAN的認(rèn)證前域。此時(shí)認(rèn)證前域配置了訪問(wèn)控制策略,用戶(hù)只能訪問(wèn)AC、DNS和Portal等地址3.用戶(hù)隨意在瀏覽器中輸入一個(gè)URL,由DNS解析到網(wǎng)站實(shí)際IP地址4.WLANAC將用戶(hù)對(duì)該網(wǎng)站的請(qǐng)求修改為對(duì)Portal服務(wù)器的訪問(wèn)請(qǐng)求,要求用戶(hù)強(qiáng)制認(rèn)證5.用戶(hù)在Portal上通過(guò)認(rèn)證,由AC配置進(jìn)入認(rèn)證后域網(wǎng)絡(luò)濫用-DNS漏洞繞開(kāi)計(jì)費(fèi)漏洞原理AC在認(rèn)證過(guò)程第3步時(shí)未對(duì)用戶(hù)終端發(fā)起的域名解析請(qǐng)求作目的地址限制,用戶(hù)終端不僅可以訪問(wèn)AC通過(guò)DHCP分配的DNS服務(wù)器的UDP53端口,也可以訪問(wèn)其它外網(wǎng)IP地址的相同端口漏洞利用方法惡意人員可以在公網(wǎng)建立一臺(tái)VPN服務(wù)器,使用UDP53端口提供VPN服務(wù)。用戶(hù)終端不經(jīng)過(guò)用戶(hù)身份認(rèn)證,就可以通過(guò)VPN軟件客戶(hù)端建立起與外網(wǎng)VPN服務(wù)器的VPN連接,將該VPN服務(wù)器作為代理服務(wù)器,將正常的上網(wǎng)流量封裝在DNS協(xié)議報(bào)文中發(fā)送到互聯(lián)網(wǎng)上,實(shí)現(xiàn)對(duì)公網(wǎng)的訪問(wèn)。此時(shí)AC會(huì)將所有VPN隧道內(nèi)的流量視為正常的DNS協(xié)議數(shù)據(jù)予以放行網(wǎng)絡(luò)濫用-DNS漏洞繞開(kāi)計(jì)費(fèi)實(shí)現(xiàn)工具OpenVPN,一款開(kāi)源的VPN軟件危害免認(rèn)證計(jì)費(fèi),并且避免了運(yùn)營(yíng)商網(wǎng)絡(luò)中的監(jiān)控和審計(jì)和溯源措施網(wǎng)絡(luò)濫用-DNS漏洞繞開(kāi)計(jì)費(fèi)-防護(hù)手段在AC上設(shè)置DNS白名單或?qū)嵤〢CL控制,限定認(rèn)證前域的終端可訪問(wèn)的DNS為特定地址和特定端口網(wǎng)絡(luò)濫用-DNS漏洞繞開(kāi)計(jì)費(fèi)更進(jìn)一步如果認(rèn)證前域的配置嚴(yán)格,只明確開(kāi)放指定的DNS服務(wù)器的地址和服務(wù),那么用戶(hù)只能連接到運(yùn)營(yíng)商指定的DNS服務(wù)器,前述漏洞將被封堵另一個(gè)思路:將外出流量通過(guò)運(yùn)營(yíng)商指定的DNS服務(wù)器轉(zhuǎn)發(fā)至外網(wǎng)VPN服務(wù)器實(shí)現(xiàn)方式:通過(guò)將向外訪問(wèn)的流量封裝在DNS請(qǐng)求協(xié)議報(bào)文中,由DNS服務(wù)器轉(zhuǎn)發(fā)到外網(wǎng)的VPN服務(wù)器,同樣可以逃過(guò)AC的訪問(wèn)控制策略檢查網(wǎng)絡(luò)濫用-DNS漏洞繞開(kāi)計(jì)費(fèi)更進(jìn)一步VPN建立數(shù)據(jù)封裝網(wǎng)絡(luò)濫用-DNS漏洞繞開(kāi)計(jì)費(fèi)更進(jìn)一步實(shí)際數(shù)據(jù)流——三角模式

發(fā)出的數(shù)據(jù)包接收的數(shù)據(jù)包網(wǎng)絡(luò)濫用-DNS漏洞繞開(kāi)計(jì)費(fèi)實(shí)現(xiàn)工具LoopcVPN危害免認(rèn)證計(jì)費(fèi),并且避免了運(yùn)營(yíng)商網(wǎng)絡(luò)中的監(jiān)控和審計(jì)和溯源措施影響DNS服務(wù)器——此種方式的訪問(wèn)對(duì)運(yùn)營(yíng)商DNS服務(wù)器的負(fù)荷很大,一般用戶(hù)的上網(wǎng)流量中DNS流量只占總流量的不到1%。而此種方式幾乎用戶(hù)所有的訪問(wèn)都是封裝在DNS中。并且運(yùn)營(yíng)商本地DNS必須進(jìn)行遞歸查詢(xún),極其消耗資源??赡苡绊憭煸贒NS上的其他重要業(yè)務(wù)(如WAP)網(wǎng)絡(luò)濫用-IP地址冒用盜用WLAN設(shè)備地址用戶(hù)和網(wǎng)絡(luò)設(shè)備在無(wú)線側(cè)是通過(guò)共同的網(wǎng)絡(luò)設(shè)備向上訪問(wèn),兩個(gè)地址段屬于不同的VLAN,但可能未作隔離網(wǎng)絡(luò)設(shè)備地址(AP、交換機(jī)等)可能為公網(wǎng)地址非法用戶(hù)在獲得AP、AC、交換機(jī)等WLAN系統(tǒng)設(shè)備地址后,可將自己的終端設(shè)置為相同地址段IP,則可能實(shí)現(xiàn)免費(fèi)上網(wǎng)網(wǎng)絡(luò)濫用-IP地址冒用盜用合法用戶(hù)IP地址原理APWLANACPortalServerRadiusInternetIP城域網(wǎng)APAP用戶(hù)認(rèn)證通過(guò)后AC維護(hù)會(huì)話(huà)狀態(tài)表,后續(xù)會(huì)話(huà)訪問(wèn)只通過(guò)IP地址進(jìn)行識(shí)別,留下安全隱患!網(wǎng)絡(luò)濫用-IP地址冒用盜用合法用戶(hù)IP地址攻擊者掃描無(wú)線網(wǎng)絡(luò)中在線的用戶(hù),將通過(guò)認(rèn)證的用戶(hù)踢出無(wú)線網(wǎng)絡(luò)中(DOS攻擊)手工更改本機(jī)IP為通過(guò)驗(yàn)證用戶(hù)的IP地址,訪問(wèn)互聯(lián)網(wǎng)網(wǎng)絡(luò)濫用-IP地址冒用-防護(hù)手段盜用WLAN設(shè)備地址配置AP、交換機(jī)等設(shè)備管理地址為私網(wǎng)地址,斷絕用戶(hù)地址與設(shè)備地址路由嚴(yán)格劃分管理VLAN和業(yè)務(wù)VLAN設(shè)定ACL,限制WLAN設(shè)備地址段訪問(wèn)互聯(lián)網(wǎng)盜用合法用戶(hù)IP地址設(shè)定DHCP租期大于用戶(hù)超時(shí)下線時(shí)間(現(xiàn)在要求DHCP租期大于30分鐘,用戶(hù)超時(shí)下線時(shí)間為15分鐘)AC判斷是否放行用戶(hù)訪問(wèn)時(shí),同時(shí)判斷IP地址和MAC地址,增加攻擊者的利用難度敏感信息泄露-網(wǎng)絡(luò)竊聽(tīng)在WLAN環(huán)境中,由于其開(kāi)放的傳輸介質(zhì),使得攻擊者可以非常容易地實(shí)施竊聽(tīng)攻擊明文協(xié)議(HTTP,POP3和FTP等)都可以被竊聽(tīng)可能泄露用戶(hù)在網(wǎng)站、郵箱以及BBS上的帳號(hào)口令以及訪問(wèn)記錄敏感信息泄露-網(wǎng)絡(luò)竊聽(tīng)-防護(hù)手段Portal認(rèn)證中,賬號(hào)密碼傳輸采用SSL加密,泄露可能性較低數(shù)據(jù)加密空口加密:WPA2VPN應(yīng)用層加密:HTTPS/FTPS…敏感信息泄露-偽AP私設(shè)SSID為CMCC/CMCC-EDU的AP,誘使用戶(hù)連接到此AP,收集用戶(hù)的WLAN賬號(hào)密碼攻擊者在偽AP后自設(shè)WEB服務(wù)器,偽造出登錄頁(yè)面記錄用戶(hù)輸入的賬號(hào)密碼信息合法AP

假CMCCAP

用戶(hù)(終端)攻擊者Radius服務(wù)器敏感信息泄露-偽AP-防護(hù)手段開(kāi)啟非法AP檢測(cè)和定位功能,及時(shí)發(fā)現(xiàn)偽CMCCAP取消WLAN手機(jī)用戶(hù)的靜態(tài)密碼登錄方式,采用動(dòng)態(tài)密碼下發(fā)方式敏感信息泄露-偽DHCP服務(wù)器攻擊步驟發(fā)動(dòng)DHCP地址耗盡攻擊,使AC地址池耗盡,無(wú)法向合法用戶(hù)分配IP攻擊者冒充DHCP服務(wù)器,響應(yīng)用戶(hù)DHCP請(qǐng)求并分配偽IP地址給用戶(hù)網(wǎng)關(guān)一般設(shè)置為攻擊者的地址,從而竊聽(tīng)用戶(hù)流量,獲得未加密的敏感信息敏感信息泄露-偽DHCP服務(wù)器更進(jìn)一步偽DHCP服務(wù)器下發(fā)的DHCP配置中,DNS服務(wù)器地址設(shè)置為攻擊者控制的虛假DNS服務(wù)器收到用戶(hù)對(duì)重要網(wǎng)站(銀行、證券系統(tǒng)等)的域名解析請(qǐng)求,返回釣魚(yú)網(wǎng)站IP地址用戶(hù)被定向到釣魚(yú)網(wǎng)站,泄露帳號(hào)密碼等敏感信息敏感信息泄露-偽DHCP服務(wù)器-防護(hù)手段開(kāi)啟網(wǎng)絡(luò)設(shè)備DHCPSnooping功能開(kāi)啟接入交換機(jī)的端口隔離功能開(kāi)啟AC的用戶(hù)隔離功能敏感信息泄露-ARP欺騙同一VLAN下的用戶(hù),如果可以互相訪問(wèn),則攻擊者可以使用ARP嗅探的方式截獲其它用戶(hù)數(shù)據(jù)攻擊者廣播虛假ARP包,將合法用戶(hù)的網(wǎng)關(guān)指定為攻擊者本身用戶(hù)流量全部經(jīng)過(guò)攻擊者,數(shù)據(jù)被竊聽(tīng)敏感信息泄露-ARP欺騙-防護(hù)手段AC嚴(yán)格劃分VLAN,減小廣播域,并嚴(yán)禁VLAN間互通開(kāi)啟AC的用戶(hù)隔離功能禁止AP向與其關(guān)聯(lián)的所有終端廣播ARP報(bào)文開(kāi)啟接入交換機(jī)的端口隔離功能敏感信息泄露-WLAN用戶(hù)密碼生成機(jī)制問(wèn)題WLAN用戶(hù)在遺忘登錄密碼后,可通過(guò)發(fā)送短信CZWLANMM至10086,系統(tǒng)重置并返回一個(gè)新的密碼現(xiàn)網(wǎng)中部分省市將重置密碼設(shè)置為默認(rèn)密碼,因此每次客戶(hù)重置密碼,返回的密碼均為“111111”惡意用戶(hù)針對(duì)號(hào)段進(jìn)行默認(rèn)密碼嘗試,可能發(fā)現(xiàn)可用賬號(hào),盜用后免費(fèi)上網(wǎng)敏感信息泄露-WLAN用戶(hù)密碼生成機(jī)制問(wèn)題-防護(hù)手段增強(qiáng)WLAN用戶(hù)密碼生成機(jī)制的安全性,避免WLAN系統(tǒng)重置密碼是默認(rèn)弱口令設(shè)備被攻擊利用-網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備(特別是AC)暴露在公網(wǎng),易遭受各種攻擊如果AC設(shè)備被攻擊者控制,可能存在以下安全風(fēng)險(xiǎn)攻擊者獲取AC設(shè)備root權(quán)限后,可停止業(yè)務(wù)進(jìn)程、關(guān)閉端口,甚至關(guān)閉設(shè)備,導(dǎo)致用戶(hù)無(wú)法使用WLAN,影響客戶(hù)感知如攻擊者對(duì)WLAN業(yè)務(wù)較為熟悉,可在AC設(shè)備上獲取客戶(hù)使用WLAN業(yè)務(wù)的帳號(hào)名稱(chēng)、訪問(wèn)記錄等敏感信息,導(dǎo)致客戶(hù)敏感信息泄漏更進(jìn)一步,在攻擊者很熟悉WLAN業(yè)務(wù)流程的情況下,可向上聯(lián)Radius服務(wù)器發(fā)送異常數(shù)據(jù)包,導(dǎo)致認(rèn)證或計(jì)費(fèi)異常,容易引發(fā)客戶(hù)投訴,影響公司形象攻擊者在AC設(shè)備上安裝惡意程序,作為攻擊者特定用途使用,如發(fā)送垃圾郵件、發(fā)起拒絕服務(wù)攻擊等(已有案例)WLAN業(yè)務(wù)異??蛻?hù)信息泄漏認(rèn)證/計(jì)費(fèi)異常攻擊發(fā)起源設(shè)備被攻擊利用-網(wǎng)絡(luò)設(shè)備SNMP默認(rèn)CommunityString(團(tuán)體字)風(fēng)險(xiǎn)WLAN系統(tǒng)中大量的設(shè)備都開(kāi)啟了SNMP服務(wù),該服務(wù)默認(rèn)口令字為public、privatePublic為只讀權(quán)限,只能對(duì)設(shè)備進(jìn)行查看Private為讀寫(xiě)權(quán)限,不但能讀取設(shè)備的相關(guān)信息,還可對(duì)這些信息進(jìn)行修改相關(guān)工具:SolarWinds等通過(guò)Private權(quán)限,可對(duì)端口進(jìn)行關(guān)閉操作設(shè)備被攻擊利用-網(wǎng)絡(luò)設(shè)備AC等設(shè)備自身漏洞操作系統(tǒng)漏洞WLAN設(shè)備如AC、Radius等多基于Unix/Linux等通用操作系統(tǒng)。如果設(shè)備自身存在安全漏洞,且互聯(lián)網(wǎng)可達(dá),則易被攻擊并成為肉雞案例:2010年某省公司的AC地址被國(guó)際發(fā)垃圾郵件組織加入SBL列表。經(jīng)排查,屬于AC被攻擊后被植入惡意進(jìn)程,并啟用本地880端口為外部提供代理服務(wù)應(yīng)用服務(wù)漏洞WEB/FTP等服務(wù)存在安全漏洞,造成被入侵案例:某廠家AC存在繞過(guò)驗(yàn)證下載任意配置文件漏洞設(shè)備被攻擊利用-網(wǎng)絡(luò)設(shè)備設(shè)備弱口令對(duì)互聯(lián)網(wǎng)開(kāi)放不必要的端口和服務(wù)AC登陸協(xié)議使用明文傳輸模式部分AC設(shè)備不支持SSH、HTTPS等加密形式登陸,使得維護(hù)過(guò)程中賬號(hào)、口令在互聯(lián)網(wǎng)明文傳輸,存在被竊聽(tīng)可能設(shè)備被攻擊利用-網(wǎng)絡(luò)設(shè)備-防護(hù)手段賬號(hào)口令和SNMP團(tuán)體字復(fù)雜度需滿(mǎn)足集團(tuán)安全規(guī)范設(shè)備管理端口和業(yè)務(wù)端口分離。在網(wǎng)絡(luò)設(shè)備上配置ACL,限定有限地址段訪問(wèn)和管理設(shè)備關(guān)閉設(shè)備的HTTP/TELNET等明文協(xié)議管理方式,采用HTTPS/SSH等加密方式檢查WLANAC設(shè)備上進(jìn)程及開(kāi)放端口列表,確認(rèn)是否存在惡意程序及非法端口,如存在則手工關(guān)閉后清除,并手工恢復(fù)被破壞的系統(tǒng)文件使用安全漏洞掃描設(shè)備對(duì)所有WLAN相關(guān)設(shè)備進(jìn)行安全漏洞掃描,檢查有無(wú)高中風(fēng)險(xiǎn)安全漏洞,如有需盡快修補(bǔ)設(shè)備被攻擊利用-PortalWLAN的WebPortal由于在公網(wǎng)上能夠訪問(wèn),存在網(wǎng)頁(yè)篡改、拒絕服務(wù)攻擊等網(wǎng)站安全威脅網(wǎng)頁(yè)篡改信息竊取拒絕服務(wù)非法入侵攻擊者WLANPortal設(shè)備被攻擊利用-Portal

-防護(hù)手段WLAN系統(tǒng)嚴(yán)格劃分安全區(qū)域在Portal前部署防火墻、防DDOS、網(wǎng)頁(yè)防篡改等安全防護(hù)系統(tǒng),確保高安全強(qiáng)度攻擊者網(wǎng)站防篡改DDOS防護(hù)WLANPortal目錄WLAN系統(tǒng)的網(wǎng)絡(luò)安全管理要求2相關(guān)技術(shù)及安全標(biāo)準(zhǔn)介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風(fēng)險(xiǎn)及防護(hù)手段31◆WLAN系統(tǒng)安全域劃分WLAN組網(wǎng)安全要求VLAN隔離與安全域劃分要求AP、AC支持VLAN隔離,AC嚴(yán)格劃分VLAN,將AP劃分到不同VLAN中,并嚴(yán)禁VLAN間互通由于WebPortal需向用戶(hù)開(kāi)放且Radius系統(tǒng)的重要性,因此需將WebPortal與Radius隔離在兩個(gè)不同等級(jí)安全域內(nèi),且Radius安全域等級(jí)應(yīng)高于WebPortal域安全等級(jí)二層隔離要求支持AP下的二層隔離功能;支持用戶(hù)隔離功能的打開(kāi)和關(guān)閉地址規(guī)劃要求配置無(wú)需訪問(wèn)公網(wǎng)的設(shè)備(如AP、交換機(jī)等)地址為私網(wǎng)地址AP、AC管理端口和業(yè)務(wù)端口分開(kāi)方式一:管理端口分配私有IP地址,業(yè)務(wù)端口分配公網(wǎng)IP地址方式二:管理端口、業(yè)務(wù)端口分在不同的IP地址段WLAN系統(tǒng)設(shè)備安全驗(yàn)收要求合理分配IP、劃分VLAN及安全域網(wǎng)絡(luò)設(shè)備地址盡量配置私網(wǎng)地址劃分管理VLAN和業(yè)務(wù)VLAN細(xì)分VLAN,減小廣播域高風(fēng)險(xiǎn)區(qū)域部署防火墻、防DDOS、IDS等安全設(shè)備開(kāi)啟設(shè)備防護(hù)功能端口隔離用戶(hù)隔離DHCPSnooping非法AP檢測(cè)WLAN系統(tǒng)設(shè)備安全驗(yàn)收要求嚴(yán)格設(shè)置訪問(wèn)控制關(guān)閉TELNET/HTTP、僅對(duì)維護(hù)需要的IP開(kāi)放特定端口、設(shè)置AC的DNS白名單...基線配置檢查賬號(hào)口令、SNMP團(tuán)體字...安全設(shè)備配置檢查ACL策略、防火墻策略...系統(tǒng)漏洞掃描,及時(shí)修補(bǔ)漏洞WLAN系統(tǒng)安全集團(tuán)相關(guān)要求關(guān)于進(jìn)一步強(qiáng)化WLAN系統(tǒng)安全管理的通知目錄WLAN系統(tǒng)的網(wǎng)絡(luò)安全管理要求2相關(guān)技術(shù)及安全標(biāo)準(zhǔn)介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風(fēng)險(xiǎn)及防護(hù)手段31◆WLAN系統(tǒng)日常安全檢查WLAN日常安全維護(hù)作業(yè)系統(tǒng)日志安全檢查安全設(shè)備運(yùn)行情況檢查木馬和惡意軟件監(jiān)控重要業(yè)務(wù)進(jìn)程及變化監(jiān)控檢查應(yīng)用系統(tǒng)端口、服務(wù)情況檢查各防火墻訪問(wèn)控制策略病毒代碼更新工作系統(tǒng)配置、賬號(hào)、文件系統(tǒng)檢查更改帳號(hào)口令、并審計(jì)帳號(hào)目錄WLAN系統(tǒng)的網(wǎng)絡(luò)安全管理要求2相關(guān)技術(shù)及安全標(biāo)準(zhǔn)介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風(fēng)險(xiǎn)及防護(hù)手段31◆DHCPSnooping技術(shù)介紹DHCPSnooping——DHCP監(jiān)聽(tīng)允許將設(shè)備某個(gè)物理端口設(shè)置為信任(Trust)或不信任(Untrust)防止偽DHCP服務(wù)器攻擊信任端口可以正常接收并轉(zhuǎn)發(fā)DHCPOffer報(bào)文,而不信任端口會(huì)將接收到的DHCPOffer報(bào)文丟棄DHCPSnooping技術(shù)介紹防止DHCP地址耗盡攻擊比較DHCP請(qǐng)求報(bào)文的(報(bào)文頭里的)源MAC地址和(報(bào)文內(nèi)容里的)DHCP客戶(hù)機(jī)的硬件地址(即CHADDR字段),只有這兩者相同的請(qǐng)求報(bào)文才會(huì)被轉(zhuǎn)發(fā),否則將被丟棄防止DHCP廣播泛濫可以對(duì)端口的DHCP報(bào)文進(jìn)行限速,從而阻止短時(shí)間大量發(fā)送DHCP請(qǐng)求報(bào)文造成廣播泛濫無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)(1)-WEPWEP——WiredEquivalentPrivacy,有線等效保密協(xié)議是一種可選的鏈路層安全機(jī)制,用來(lái)提供訪問(wèn)控制,數(shù)據(jù)加密和安全性檢驗(yàn)等無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)(1)-WEP認(rèn)證機(jī)制兩種身份認(rèn)證方法:開(kāi)放式——工作站使用MAC地址作為身份證明PSK——Pre-SharedKey,預(yù)共享密鑰,單向認(rèn)證(AP認(rèn)證終端)加密機(jī)制RC4流加密算法40位/104位密鑰+24位IV(初始向量)無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)(1)-WEPWEP脆弱性對(duì)RC4算法的使用方式不正確,易被破解IV(初始向量)及密鑰長(zhǎng)度短,導(dǎo)致IV重復(fù)出現(xiàn)次數(shù)較高,造成RC4算法的加密強(qiáng)度大幅度下降無(wú)完整性機(jī)制,數(shù)據(jù)易被篡改,容易受到重放攻擊密鑰管理不便,加密、認(rèn)證使用相同密鑰,泄密可能性大無(wú)雙向認(rèn)證,可能存在虛假AP無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)(2)-WPAWPA(Wi-FiProtectedAccess)802.11idraft3,為了向下兼容的過(guò)渡性解決方案認(rèn)證機(jī)制802.1x或WPA-PSK,認(rèn)證的同時(shí)協(xié)商本次會(huì)話(huà)密鑰,將認(rèn)證與加密機(jī)制明確分離加密機(jī)制TKIP(TemporalKeyIntegrityProtocol),臨時(shí)密鑰完整性協(xié)議RC4流加密算法,48位IV,256位密鑰,每幀變換完整性機(jī)制Michael信息編碼完整性機(jī)制,防止重放攻擊無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)(3)-IEEE802.11iIEEE802.11iWPA2演進(jìn)圖無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)(3)-IEEE802.11i認(rèn)證機(jī)制802.1x或WPA2-PSK支持雙向認(rèn)證(用戶(hù)和認(rèn)證服務(wù)器之間)認(rèn)證的同時(shí)協(xié)商本次會(huì)話(huà)密鑰,將認(rèn)證與加密機(jī)制明確分離加密機(jī)制TKIP,保持向下兼容CCMP(Counter-modeCBC-MACProtocol),帶計(jì)數(shù)的CBC-MAC協(xié)議基于AES加密算法完整性機(jī)制提供無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)(4)-WAPIWAPI(WLANAuthenticationandPrivacyInfrastructure),無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)我國(guó)2003年

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論